AirSnitch: Dad-ddrysu a thorri arwahanrwydd cleientiaid mewn rhwydweithiau Wi-Fi [pdf]

Y Bregusrwydd Cudd yn Eich Busnes Wi-Fi Mae'r Rhan fwyaf o Dimau TG yn ei Ddiystyru

Bob bore, mae miloedd o siopau coffi, cynteddau gwestai, swyddfeydd corfforaethol, a lloriau manwerthu yn troi ar eu llwybryddion Wi-Fi ac yn cymryd yn ganiataol bod y blwch ticio "ynysu cleient" y gwnaethant ei dicio yn ystod y setup yn gwneud ei waith. Mae ynysu cleientiaid - y nodwedd sy'n atal dyfeisiau ar yr un rhwydwaith diwifr yn ddamcaniaethol rhag siarad â'i gilydd - wedi'i werthu ers amser maith fel y fwled arian ar gyfer diogelwch rhwydwaith a rennir. Ond mae ymchwil i dechnegau fel y rhai a archwiliwyd yn fframwaith AirSnitch yn datgelu gwirionedd anghyfforddus: mae ynysu cleientiaid yn llawer gwannach nag y mae'r rhan fwyaf o fusnesau yn ei gredu, a gall y data sy'n llifo ar draws eich rhwydwaith gwesteion fod yn llawer mwy hygyrch nag y mae eich polisi TG yn ei ragdybio.

Ar gyfer perchnogion busnes sy'n rheoli data cwsmeriaid, cymwysterau gweithwyr, ac offer gweithredol ar draws lleoliadau lluosog, nid ymarfer academaidd yn unig yw deall terfynau gwirioneddol ynysu Wi-Fi. Mae'n sgil goroesi mewn oes lle gall un camgyfluniad rhwydwaith ddatgelu popeth o'ch cysylltiadau CRM i'ch integreiddiadau cyflogres. Mae'r erthygl hon yn dadansoddi sut mae ynysu cleientiaid yn gweithio, sut y gall fethu, a'r hyn y mae'n rhaid i fusnesau modern ei wneud i ddiogelu eu gweithrediadau mewn byd diwifr yn gyntaf.

Beth mae Arwahanrwydd Cleient yn Ei Wneud Mewn Gwirionedd - a'r hyn nad yw'n ei wneud

Mae ynysu cleient, a elwir weithiau yn ynysu AP neu ynysu diwifr, yn nodwedd sydd wedi'i hymgorffori ym mhob pwynt mynediad defnyddwyr a menter bron. Pan gaiff ei alluogi, mae'n cyfarwyddo'r llwybrydd i rwystro cyfathrebu uniongyrchol Haen 2 (haen cyswllt data) rhwng cleientiaid di-wifr ar yr un segment rhwydwaith. Mewn egwyddor, os yw Dyfais A a Dyfais B wedi'u cysylltu â'ch Wi-Fi gwestai, ni all y naill na'r llall anfon pecynnau yn uniongyrchol i'r llall. Bwriad hyn yw atal un ddyfais sydd dan fygythiad rhag sganio neu ymosod ar ddyfais arall.

Y broblem yw bod "ynysu" yn disgrifio un fector ymosodiad cul yn unig. Mae traffig yn dal i lifo i fyny drwy'r pwynt mynediad, drwy'r llwybrydd, ac allan i'r rhyngrwyd. Mae traffig darlledu ac aml-ddarlledu yn ymddwyn yn wahanol yn dibynnu ar gadarnwedd y llwybrydd, gweithrediad y gyrrwr, a thopoleg y rhwydwaith. Mae ymchwilwyr wedi dangos y gall rhai ymatebion chwiliwr, fframiau beacon, a phecynnau DNS aml-ddarlledu (mDNS) ollwng rhwng cleientiaid mewn ffyrdd na ddyluniwyd y nodwedd ynysu erioed i'w rhwystro. Yn ymarferol, mae ynysu yn atal cysylltiad uniongyrchol 'n Ysgrublaidd - ond nid yw'n gwneud dyfeisiau'n anweledig i arsylwr penderfynol gyda'r offer cywir a'r safle dal pecynnau.

Canfu astudiaeth yn 2023 a oedd yn archwilio gosodiadau di-wifr ar draws amgylcheddau menter fod tua 67% o bwyntiau mynediad gydag arwahanrwydd cleientiaid wedi galluogi digon o draffig aml-gastio i ganiatáu i gleientiaid cyfagos allu defnyddio systemau gweithredu olion bysedd, nodi mathau o ddyfeisiau, ac mewn rhai achosion, casglu gweithgaredd haen-cymhwysiad. Nid yw hynny'n risg ddamcaniaethol - mae hynny'n realiti ystadegol sy'n chwarae allan mewn cynteddau gwestai a mannau cydweithio bob dydd.

Sut mae Technegau Ffordd Osgoi Arwahanu yn Gweithio'n Ymarferol

Mae'r technegau a archwiliwyd mewn fframweithiau fel AirSnitch yn dangos sut mae ymosodwyr yn symud o arsylwi goddefol i ryng-gipio traffig gweithredol hyd yn oed pan fydd ynysu wedi'i alluogi. Mae'r mewnwelediad craidd yn dwyllodrus o syml: mae ynysu cleientiaid yn cael ei orfodi gan y pwynt mynediad, ond nid y pwynt mynediad ei hun yw'r unig endid ar y rhwydwaith sy'n gallu trosglwyddo traffig. Trwy drin tablau ARP (Address Resolution Protocol), chwistrellu fframiau darlledu crefftus, neu fanteisio ar resymeg llwybro'r porth rhagosodedig, gall cleient maleisus weithiau dwyllo'r AP i anfon pecynnau y dylai fod yn eu gollwng.

Mae un dechneg gyffredin yn ymwneud â gwenwyno ARP ar lefel y porth. Gan mai dim ond yn Haen 2 y mae arwahanrwydd cleient fel arfer yn atal cyfathrebu rhwng cymheiriaid, mae traffig sy'n mynd i'r porth (y llwybrydd) yn dal i gael ei ganiatáu. Gall ymosodwr sy'n gallu dylanwadu ar sut mae'r porth yn mapio cyfeiriadau IP i gyfeiriadau MAC osod eu hunain yn effeithiol fel dyn yn y canol, gan dderbyn traffig a fwriadwyd ar gyfer cleient arall cyn ei anfon ymlaen. Mae'r cleientiaid ynysig yn parhau i fod yn anymwybodol - mae'n ymddangos bod eu pecynnau'n teithio'n normal i'r rhyngrwyd, ond maen nhw'n pasio trwy ras gyfnewid gelyniaethus yn gyntaf.

Mae fector arall yn ecsbloetio ymddygiad protocolau mDNS a SSDP, a ddefnyddir gan ddyfeisiau i ddarganfod gwasanaeth. Mae setiau teledu clyfar, argraffwyr, synwyryddion IoT, a hyd yn oed tabledi busnes yn darlledu'r cyhoeddiadau hyn yn rheolaidd. Hyd yn oed pan fydd ynysu cleientiaid yn blocio cysylltiadau uniongyrchol, gall cleientiaid cyfagos dderbyn y darllediadau hyn o hyd, gan greu rhestr fanwl o bob dyfais ar y rhwydwaith - eu henwau, gweithgynhyrchwyr, fersiynau meddalwedd, a gwasanaethau a hysbysebir. Ar gyfer ymosodwr wedi'i dargedu mewn amgylchedd busnes a rennir, mae'r data rhagchwilio hwn yn amhrisiadwy.

"Mae ynysu cleient yn glo ar y drws ffrynt, ond mae ymchwilwyr wedi dangos dro ar ôl tro bod y ffenestr ar agor. Mae busnesau sy'n ei drin fel datrysiad diogelwch cyflawn yn gweithredu dan rithiad peryglus - mae diogelwch rhwydwaith go iawn yn gofyn am amddiffynfeydd haenog, nid nodweddion blwch ticio."

Y Risg Busnes Gwirioneddol: Beth Sydd Mewn Gwirionedd yn y fantol

Pan fydd ymchwilwyr technegol yn trafod gwendidau ynysu Wi-Fi, mae'r sgwrs yn aml yn aros ym myd cipio pecynnau a chwistrelliadau ffrâm. Ond i berchennog busnes, mae'r canlyniadau'n llawer mwy pendant. Ystyriwch westy bwtîc lle mae gwesteion a staff yn rhannu'r un seilwaith pwynt mynediad ffisegol, hyd yn oed os ydynt ar SSIDs ar wahân. Os yw segmentiad VLAN wedi'i gamgyflunio - sy'n digwydd yn amlach nag y mae gwerthwyr yn cyfaddef - gall traffig o'r rhwydwaith staff ddod yn weladwy i westai gyda'r offer cywir.

Yn y sefyllfa honno, beth sydd mewn perygl? Popeth o bosibl: manylion system archebu, cyfathrebu terfynell pwynt gwerthu, tocynnau sesiwn porth AD, pyrth anfonebau cyflenwyr. Mae busnes sy'n rhedeg ei weithrediadau ar draws llwyfannau cwmwl - systemau CRM, offer cyflogres, dangosfyrddau rheoli fflyd - yn arbennig o agored, oherwydd bod pob un o'r gwasanaethau hynny yn dilysu dros sesiynau HTTP/S y gellir eu dal os yw'r ymosodwr wedi gosod eu hunain ar yr un segment rhwydwaith.

Mae'r niferoedd yn sobor. Mae Adroddiad Cost Torri Data IBM yn gyson yn gosod cost gyfartalog toriad yn fwy na $4.45 miliwn yn fyd-eang, gyda busnesau bach a chanolig yn wynebu effaith anghymesur oherwydd nad oes ganddynt seilwaith adfer sefydliadau menter. Mae ymwthiadau ar sail rhwydwaith sy'n tarddu o agosrwydd corfforol - ymosodwr yn eich gofod cydweithio, eich bwyty, eich llawr manwerthu - yn cyfrif am ganran ystyrlon o fectorau mynediad cychwynnol sy'n cynyddu'n ddiweddarach i gyfaddawd llawn.

Sut Mae Segmentu Rhwydwaith Priodol yn Edrych Mewn gwirionedd

Mae diogelwch rhwydwaith gwirioneddol ar gyfer amgylcheddau busnes yn mynd ymhell y tu hwnt i newid ynysu cleientiaid. Mae'n gofyn am ddull haenog sy'n trin pob parth rhwydwaith fel un a allai fod yn elyniaethus. Dyma sut mae hynny'n edrych yn ymarferol:

• Segmentu VLAN gyda rheolau llwybro rhyng-VLAN llym: Dylai traffig gwesteion, traffig staff, dyfeisiau IoT, a systemau pwynt gwerthu ill dau fyw ar VLANs ar wahân gyda rheolau wal dân sy'n rhwystro cyfathrebu traws-barth heb awdurdod yn benodol - nid dibynnu ar ynysu ar lefel AP yn unig.
• Sesiynau cymhwysiad wedi'u hamgryptio fel llinell sylfaen orfodol: Dylai pob rhaglen fusnes orfodi HTTPS gyda phenawdau HSTS a phinio tystysgrifau lle bo modd. Os yw'ch offer yn anfon tystlythyrau neu docynnau sesiwn dros gysylltiadau heb eu hamgryptio, nid oes unrhyw segmentiad rhwydwaith yn eich amddiffyn yn llwyr.
• Systemau canfod ymwthiad diwifr (WIDS): Mae pwyntiau mynediad gradd menter gan werthwyr fel Cisco Meraki, Aruba, neu Ubiquiti yn cynnig WIDS integredig sy'n tynnu sylw at APs twyllodrus, ymosodiadau deauth, ac ymdrechion ffugio ARP mewn amser real.
• Cylchdroi credential rheolaidd a gorfodi MFA: Hyd yn oed os yw traffig yn cael ei ddal, mae tocynnau sesiwn byrhoedlog a dilysu aml-ffactor yn lleihau gwerth tystlythyrau rhyng-gipio yn ddramatig.
• Polisïau rheoli mynediad rhwydwaith (NAC): Mae systemau sy'n dilysu dyfeisiau cyn caniatáu mynediad i'r rhwydwaith yn atal caledwedd anhysbys rhag ymuno â'ch rhwydwaith gweithredol yn y lle cyntaf.
• Asesiadau diogelwch diwifr cyfnodol: Bydd profwr treiddiad sy'n defnyddio offer cyfreithlon i efelychu'r union ymosodiadau hyn yn erbyn eich rhwydwaith yn wynebu camgyfluniadau y mae sganwyr awtomataidd yn eu methu.

Yr egwyddor allweddol yw amddiffyn yn fanwl. Gellir osgoi unrhyw haen sengl - dyna mae ymchwil fel AirSnitch yn ei ddangos. Yr hyn na all ymosodwyr ei osgoi'n hawdd yw pum haen, pob un yn gofyn am dechneg wahanol i drechu.

Mae Cydgrynhoi Eich Offer Busnes yn Lleihau Eich Arwyneb Ymosodiad

Un dimensiwn o ddiogelwch rhwydwaith nad yw'n cael ei werthfawrogi'n ddigonol yw darnio gweithredol. Po fwyaf o offer SaaS gwahanol y mae eich tîm yn eu defnyddio - gyda gwahanol fecanweithiau dilysu, gwahanol weithrediadau rheoli sesiynau, a gwahanol ystumiau diogelwch - y mwyaf yw eich wyneb amlygiad ar unrhyw rwydwaith penodol. Mae aelod o'r tîm sy'n gwirio pedwar dangosfwrdd ar wahân dros gysylltiad Wi-Fi wedi'i gyfaddawdu bedair gwaith yn fwy na'r amlygiad credadwy o aelod tîm sy'n gweithio o fewn un platfform unedig.

Dyma lle mae platfformau fel Mewayz yn cynnig mantais diogelwch diriaethol y tu hwnt i'w buddion gweithredol amlwg. Mae Mewayz yn cyfuno dros 207 o fodiwlau busnes - CRM, anfonebu, y gyflogres, rheoli adnoddau dynol, olrhain fflyd, dadansoddeg, systemau archebu, a mwy - mewn un sesiwn ddilysu. Yn hytrach na bod eich staff yn beicio trwy ddwsin o fewngofnodi ar wahân ar draws dwsin o barthau ar wahân ar eich rhwydwaith busnes a rennir, maent yn dilysu unwaith i lwyfan sengl gyda diogelwch sesiwn gradd menter. Ar gyfer busnesau sy'n rheoli 138,000 o ddefnyddwyr yn fyd-eang ar draws lleoliadau gwasgaredig, nid yw'r cydgrynhoi hwn yn gyfleus yn unig - mae'n lleihau'n sylweddol nifer y cyfnewidfeydd credadwy sy'n digwydd dros seilwaith diwifr a allai fod yn agored i niwed.

Pan fydd data CRM, y gyflogres, a data archebu cwsmeriaid eich tîm i gyd yn byw o fewn yr un perimedr diogelwch, mae gennych un set o docynnau sesiwn i'w hamddiffyn, un platfform i fonitro mynediad afreolaidd, ac un tîm diogelwch gwerthwr sy'n gyfrifol am gadw'r perimedr hwnnw wedi'i galedu. Mae offer darniog yn golygu atebolrwydd tameidiog - ac mewn byd lle gall ymosodwr penderfynol osgoi ynysu Wi-Fi gydag offer ymchwil sydd ar gael yn rhwydd, mae atebolrwydd yn bwysig iawn.

Adeiladu Diwylliant Sy'n Ymwybodol o Ddiogelwch o Gwmpas Defnydd Rhwydwaith

Dim ond pan fydd y bodau dynol sy'n eu gweithredu yn deall pam mae'r rheolyddion hynny'n bodoli y mae rheolyddion technoleg yn gweithio. Mae llawer o'r ymosodiadau mwyaf niweidiol ar y rhwydwaith yn llwyddo nid oherwydd bod yr amddiffynfeydd wedi methu yn dechnegol, ond oherwydd bod gweithiwr wedi cysylltu dyfais fusnes hanfodol â rhwydwaith gwesteion heb ei fetio, neu oherwydd bod rheolwr wedi cymeradwyo newid cyfluniad rhwydwaith heb ddeall ei oblygiadau diogelwch.

Mae adeiladu ymwybyddiaeth wirioneddol o ddiogelwch yn golygu mynd y tu hwnt i hyfforddiant cydymffurfio blynyddol. Mae'n golygu creu canllawiau concrit, yn seiliedig ar senarios: peidiwch byth â phrosesu data cyflogres dros Wi-Fi gwesty heb VPN; gwirio bob amser bod cymwysiadau busnes yn defnyddio HTTPS cyn mewngofnodi o rwydwaith a rennir; rhoi gwybod am unrhyw ymddygiad rhwydwaith annisgwyl — cysylltiadau araf, rhybuddion tystysgrif, anogwyr mewngofnodi anarferol — i TG ar unwaith.

Mae hefyd yn golygu meithrin yr arferiad o ofyn cwestiynau anghyfforddus am eich seilwaith eich hun. Pryd wnaethoch chi archwilio cadarnwedd eich pwynt mynediad ddiwethaf? A yw eich rhwydweithiau gwesteion a staff yn wirioneddol ynysig ar lefel VLAN, neu ar lefel SSID yn unig? A yw eich tîm TG yn gwybod sut olwg sydd ar wenwyn ARP yn eich logiau llwybrydd? Mae'r cwestiynau hyn yn teimlo'n ddiflas nes iddynt ddod yn frys - ac ym maes diogelwch, mae brys bob amser yn rhy hwyr.

Dyfodol Diogelwch Di-wifr: Dim Ymddiriedaeth ar Bob Hop

Mae gwaith parhaus y gymuned ymchwil yn dyrannu methiannau ynysu Wi-Fi yn pwyntio tuag at gyfeiriad hirdymor clir: ni all busnesau fforddio ymddiried yn eu haen rhwydwaith. Nid yw'r model diogelwch dim-ymddiriedaeth - sy'n cymryd yn ganiataol nad oes unrhyw segment rhwydwaith, dim dyfais, nac unrhyw ddefnyddiwr yn gynhenid ​​​​y gellir ymddiried ynddo, waeth beth fo'u lleoliad ffisegol neu rwydwaith - bellach yn athroniaeth i dimau diogelwch Fortune 500 yn unig. Mae'n anghenraid ymarferol i unrhyw fusnes sy'n trin data sensitif dros seilwaith diwifr.

Yn bendant, mae hyn yn golygu gweithredu twneli VPN bob amser ymlaen ar gyfer dyfeisiau busnes fel, hyd yn oed os yw ymosodwr yn peryglu'r segment rhwydwaith lleol, ei fod yn dod ar draws traffig wedi'i amgryptio yn unig. Mae'n golygu defnyddio offer canfod ac ymateb endpoint (EDR) a all amlygu ymddygiad rhwydwaith amheus ar lefel dyfais. Ac mae'n golygu dewis llwyfannau gweithredol sy'n trin diogelwch fel nodwedd cynnyrch, nid ôl-ystyriaeth - llwyfannau sy'n gorfodi MFA, yn cofnodi digwyddiadau mynediad, ac yn rhoi gwelededd i weinyddwyr pwy sy'n cyrchu pa ddata, o ble, a phryd.

Nid yw'r rhwydwaith diwifr o dan eich busnes yn sianel niwtral. Mae'n arwyneb ymosodiad gweithredol, ac mae technegau fel y rhai a ddogfennwyd yn ymchwil AirSnitch yn cyflawni pwrpas hanfodol: maen nhw'n gorfodi'r sgwrs am ddiogelwch ynysu o'r damcaniaethol i'r gweithredol, o lyfryn marchnata'r gwerthwr i realiti'r hyn y gall ymosodwr brwdfrydig ei gyflawni mewn gwirionedd yn eich swyddfa, eich bwyty, neu'ch gofod cydweithio. Y busnesau sy'n cymryd y gwersi hyn o ddifrif - buddsoddi mewn segmentu cywir, offer cyfunol, ac egwyddorion dim ymddiriedaeth - yw'r rhai na fydd yn darllen am eu toriad eu hunain yn adroddiadau diwydiant y flwyddyn nesaf.

Cwestiynau Cyffredin

Beth yw ynysu cleient mewn rhwydweithiau Wi-Fi, a pham mae'n cael ei ystyried yn nodwedd ddiogelwch?

Cyfluniad Wi-Fi yw ynysu cleient sy'n atal dyfeisiau ar yr un rhwydwaith diwifr rhag cyfathrebu'n uniongyrchol â'i gilydd. Fe'i galluogir yn gyffredin ar rwydweithiau gwestai neu gyhoeddus i atal un ddyfais gysylltiedig rhag cyrchu dyfais arall. Er ei fod yn cael ei ystyried yn eang fel mesur diogelwch gwaelodlin, mae ymchwil fel AirSnitch yn dangos y gellir osgoi'r amddiffyniad hwn trwy dechnegau ymosod haen-2 a haen-3, gan adael dyfeisiau'n fwy agored nag y mae gweinyddwyr yn ei dybio'n arferol.

Sut mae AirSnitch yn manteisio ar wendidau yng ngweithrediadau ynysu cleientiaid?

Mae AirSnitch yn trosoli bylchau yn y modd y mae pwyntiau mynediad yn gorfodi ynysu cleientiaid, yn enwedig trwy gam-drin traffig darlledu, ffugio ARP, a llwybro anuniongyrchol drwy'r porth. Yn hytrach na chyfathrebu rhwng cyfoedion yn uniongyrchol, mae traffig yn cael ei gyfeirio drwy'r pwynt mynediad ei hun, gan osgoi rheolau ynysu. Mae'r technegau hyn yn gweithio yn erbyn ystod rhyfeddol o eang o galedwedd defnyddwyr a menter, gan ddatgelu data sensitif ar rwydweithiau y credai gweithredwyr eu bod wedi'u segmentu a'u diogelu'n gywir.

Pa fathau o fusnesau sydd fwyaf mewn perygl o ymosodiadau dargyfeiriol ynysu cleientiaid?

Mae unrhyw fusnes sy'n gweithredu amgylcheddau Wi-Fi a rennir - siopau adwerthu, gwestai, mannau cydweithio, clinigau, neu swyddfeydd corfforaethol â rhwydweithiau gwesteion - yn wynebu amlygiad ystyrlon. Mae sefydliadau sy'n rhedeg offer busnes lluosog dros yr un seilwaith rhwydwaith yn arbennig o agored i niwed. Mae llwyfannau fel Mewayz (AO busnes 207-modiwl ar $19/mo trwy app.mewayz.com) yn argymell gorfodi segmentiad rhwydwaith llym ac ynysu VLAN i amddiffyn gweithrediadau busnes sensitif rhag ymosodiadau symud ochrol ar rwydweithiau a rennir.

Pa gamau ymarferol y gall timau TG eu cymryd i amddiffyn yn erbyn technegau dargyfeiriol ynysu cleientiaid?

Mae amddiffynfeydd effeithiol yn cynnwys defnyddio segmentiad VLAN priodol, galluogi archwiliad ARP deinamig, defnyddio pwyntiau mynediad gradd menter sy'n gorfodi ynysu ar lefel caledwedd, a monitro am ARP afreolaidd neu draffig darlledu. Dylai sefydliadau hefyd sicrhau bod cymwysiadau busnes-gritigol yn gorfodi sesiynau wedi'u hamgryptio, wedi'u dilysu waeth beth fo lefel ymddiriedaeth rhwydwaith. Mae archwilio ffurfweddiadau rhwydwaith yn rheolaidd a chadw'n gyfredol ag ymchwil fel AirSnitch yn helpu timau TG i nodi bylchau cyn i ymosodwyr wneud hynny.